2024.07-Note #5

資安動態

1. Google 重大漏洞修補疑似獨厚 Pixel 手機做法引爭議（其他使用者目前只能苦等 Android 15 更新…）
2. 針對機器學習模型而來的攻擊手法Sleepy Pickle : 操作輸出的結果 ! 3種型態的Sleepy Pickle攻擊手法，從而讓生成式AI 輸出有害內容及散布假訊息、竊取使用者的資料，或是發動網路釣魚攻擊
3. 美國宣布全面禁售卡巴斯基產品 : 擔心總部位於俄羅斯的卡巴斯基，會因美、俄之間的緊張關係，危害美國的國家安全
4. 不見血戰爭／去年遭攻擊近4千億次 台企淪駭客眼中肥羊: 今年有許多國際大廠(AWS、Google、Microsoft、Apple)的資料中心選在台灣，新建資料中心有超過10座，台企握有國際大廠研發資料跟基礎設施，資安防守與偵測的支出應會顯著提升。
5. APP帳號違規！陸理想汽車竟遠程鎖車　車主驚恐：使用權屬誰？理想汽車、小鵬汽車可在後台執行遠程操控鎖車，導致無法正常行駛
6. YouTube平臺出現馬斯克Deepfake影片企圖詐騙加密貨幣，吸引3萬人同時收看 iThome
7. 離職員工竊取醫院客戶百萬病患個資: Geisinger超過100萬病患資訊被這名前微軟員工存取。遭到存取的資訊包括病患姓名、生日、住家地址、入／出院及轉診號碼、病歷號、種族、性別、電話及醫療設施名稱縮寫
8. AI裝置Rabbit r1遭爆外洩眾多API金鑰 : 其程式碼庫含有許多寫死的API金鑰，將允許任何人讀取Rabbit r1所生成的內容，或竄改Rabbit r1的回應
9. 臺灣資安市場地圖 2024.06 版 : 共382家廠商，台達電首度參加臺灣資安大會，提報端點安全、OT安全、滲透測試這三個領域 (原來光台灣就3百多家)
10. 2024臺灣AD防護現況大公開，兩家本土資安業者持續示警，呼籲企業重視多種管理設定不當引發的風險 iThome
11. Chrome即將支援Unrestricted WebUSB功能 iThome: WebUSB是個JavaScript API規格，允許網頁應用程式與USB裝置進行通訊。Unrestricted WebUSB的新功能，將允許隔離的網頁程式存取原本被禁止存取的介面與裝置

漏洞

1. OpenSSH含有可遠端攻陷伺服器的回歸漏洞 : OpenSSH RCE，7月1日發布的 9.8/9.8p1版本，修補編號CVE-2024-6387的高風險漏洞，允許駭客在不需要身分驗證的情況下，自遠端執行任意程式，還能以最高權限執行，該漏洞波及了絕大多數的Linux版本
2. Phoenix UEFI韌體存在高風險漏洞，數百款採用Intel處理器的個人電腦、筆電、伺服器恐受影響 iThome : UEFI韌體漏洞「UEFICanHazBufferOverflow（CVE-2024-0762）」，並指出這項漏洞影響搭載第7代至第14代Core i處理器的電腦，恐有數百款設備曝險
3. 由 Win 7 至 Win 11 全數中招 Wi-Fi 驅動出事 微軟已緊急發布更新 :Microsoft 11 日公布 Windows 作業系統內建的 Wi-Fi 驅動程式存在災難級的漏洞，漏洞識別碼 CVE-2024-30078，由 Win 7 至 Win 11 全數中招，該漏洞允許攻擊者在與目標裝置連接到相同WiFi網路時，無需任何使用者互動即可遠端執行程式碼，CVSS 評分高達 8.8、危害等級標記為「嚴重」(不需要事先取得特殊權限或事先存取即可利用)
4. 華碩 7 款路由器有驗證繞過漏洞，應立即更新韌體 : CVE-2024-3080 為一鑑別繞過漏洞，允許未經身分鑑別的遠端攻擊者登入設備，風險值達9.8(Critical)

程式工具

1. 易主後的polyfill.io被用來執行供應鏈攻擊 : (polyfill.js)資安業者呼籲網站管理人員關閉Polyfill，或是改用其它較為可靠的服務。知名的Polyfill函式庫polyfill.io自今年2月賣給了一家中國業者之後，開始嵌入惡意程式，以將造訪使用其服務的網站使用者重新引導至體育賭博或其它惡意網站(Polyfill函式庫的功能是在舊版瀏覽器中補充或模擬現代瀏覽器所支援的功能，因此，當舊版瀏覽器用戶所造訪的網站具備現代化瀏覽器所支援的新功能時，網站即可導入該函式庫來實現相同的功能，讓網頁於舊版瀏覽器上能夠正常運作) 採用這款程式庫的網站不乏許多知名企業組織與政府單位
2. GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5 : 發現多個漏洞，官方建議全部已安裝者立即執行升級
3. 5個上架到WordPress.org市集的外掛程式遭到供應鏈攻擊，被植入惡意指令碼 iThome: 5個上架到WordPress.org市集的外掛程式遭到供應鏈攻擊，被植入惡意指令碼
4. google osv-scanner release v1.8.1
5. OWASP Coraza WAF : Coraza 是基於 Golang 開發的企業級 Web 應用程式防火牆 (WAF) 框架 (supports ModSecurity SecLang rulesets and is 100% compatible with the OWASP Core Rule Set v4)

資安事件 | 公司被駭

1. AMD產品資料、公司文件流入暗網兜售 : 資料包括AMD未來產品、產品規格表、員工資料庫、客戶資料庫、智財檔案、程式碼、韌體和財務資料。外洩的員工資訊包含用戶ID、姓、名、工作內容、公司電話、郵件信箱等
2. 華碩電腦外洩之資安事件 : 部分資訊系統因參數設定問題，疑似部份產品相關資料外洩
3. TeamViewer疑遭俄羅斯駭客駭入，但強調產品未受影響 : TeamViewer服務成為俄羅斯駭客組織APT29（也稱為Cozy Bear，NOBELIUM和Midnight Blizzard）的積極目標。公司內部IT環境、產品環境和TeamViewer的連線平臺是相互隔離的，旨在防範未授權存取和不同環境間的橫向移

科技動態

1. 金管會協力集保公司及6家金融機構成立「現實世界資產代幣化小組」: 與 6 家金融機構和集保公司共同成立現實世界資產（Real World Assets，RWA）代幣化小組」，為了在台灣推動 RWA 代幣化做準備
   (RWA包括股票、債券等金融資產，房地產、貴金屬等實體資產，碳信用等無形資產)
2. 冷氣這樣吹最省電！日本專家實測：比「調低溫度」還要涼 | ETtoday國際新聞 : 重點結論 : (1)先加強風量讓房間內的空氣流動更好，(2)調低1度
3. 這個工程師的修改慾望，很經典
4. With AI, Anyone Can Be a Coder Now | GitHub CEO TED 科普演講 : AI協助開發者寫程式碼， 這是過去兩年 github 的願景(趨勢)， github copilot + github workspace , 開發者透過用嘴巴說的 或用寫的文字, ->自然語言->幫你拆解文字 ->成規格 ->幫你產出程式碼
5. Amazon-Powered AI Cameras Used to Detect Emotions of Unwitting UK Train Passengers : 在英國火車站安裝的攝影鏡頭使用Rekognition技術分析乘客的年齡、性別和情緒(他們並不知情)，目的是提升公共安全、減少犯罪和防止危險行為